Seleccionar página

A propósito de Latch. Entrevista a Chema Alonso, CEO de Eleven Paths

martes, 18 marzo 2014 | Seguridad | 0 Comentarios

|

Latch es una plataforma para poner una capa de protección extra a todas las identidades que gestiona una persona.

Sabemos de tu agitada vida digital y también de la real, saltando de conferencia en conferencia, por casi medio planeta, para hablar de seguridad, pentesting, Calico, promocionar los excelentes títulos publicados en 0xWord y por supuesto “Latch”.

Recientemente publiqué un artículo sobre Latch en Joomla tanto para la comunidad hispana como portuguesa con el fin de fomentar el uso de Latch en este CMS, quizás el segundo más usado después de WordPress (copa casi el 17% del mercado) y es de eso de lo que me gustaría que hablemos con el fin de conocer los entresijos de este “pestillo” multiplataforma.

 
Antes de entrar en materia ¿cual es tu implicación en el mundo de la seguridad? -para centrar al lector-.

“Llevo 15 años dedicado en cuerpo y alma al mundo de la seguridad. Junto con mi compañero de toda la vida montamos Informática 64 y allí hicimos formación en Seguridad, creamos herramientas de seguridad y hacking como FOCA, Evil FOCA, MetaShield, lanzamos la editorial de libros dedicados a Seguridad y Hacking 0xWord.com, hicimos retos hacking, conferencias, publicamos papers, etcétera, etcétera, etcétera. Después pasé a Eleven Paths y lanzamos Latch y Faast (servicio de pentesting persistente) y por supuesto desde hace casi 10 años escribo el blog Un Informático en el lado del Mal. Vamos, que llevo toda la vida en Seguridad y Hacking, que es lo que me apasiona y en lo que terminé haciendo mi doctorado por la Universidad”

¿Cómo surgió la idea de “Latch” a sabiendas que ya había algún proyecto parecido, no con tanta difusión y respaldo?.

“Había cosas similares, pero ninguna tan abierta y centrada en el usuario. Nosotros buscábamos algo que fuera fácil de implantar, que se pudiera utilizar no solo para proteger las cuentas sino para proteger cualquier activo con un side chanel, y que pudiera utilizar todo el mundo. Así nació la hice crear “pestilllos digitales” o Digital Latches que un usuario pudiera controlar desde su app de la forma más sencilla del mundo. Y así nació Latch.”

¿Que servidores soportan actualmente esta tecnología como parte de la gestión de los procesos entre usuario y servicios a los que accede, o es un servicio descentralizado?.

“Actualmente tenemos la arquitectura en Cloud, montada en CPDs distribuidos geográficamente con balanceadores de carga y todos los nodos replicados para poder dar el mejor SLA a nuestros clientes. Nuestro objetivo es poder atender todas las peticiones en menos de 0.5 segundos y garantizar un SLA de 99.95 a los clientes que implanten esta solución.”

¿Es tan importante mantener las distancias entre empresa y vida personal en Internet?

“Yo creo que desde que llegó el BYOD se hace cada vez más complicado. Los usuairos no quieren que les den material de empresa que luego le quiten o que le obliguen a trabajar desde equipamiento que no sea cómodo para ellos. Al final hay que llegar a un equilibrio y hoy en día las personas llevamos mucha vida digital a cuestas a parte de nuestro trabajo en empresas, por lo que se hace muy difícil separar esos dos mundos. Hay que hacerlos convivir.”

¿Qué papel juega Latch en este sentido?

Latch es una plataforma para poner una capa de protección extra a todas las identidades que gestiona una persona. Esas identidades pueden ser personales, profesionales o sociales, y se pueden gestionar todas desde una misma app, lo que facilita la vida sobremanera a una persona. Desde la app, un usuario puede hacer que la contraseña que protege una identidad sólo funcione cuando él abra el pestillo, y si alguien intenta usar esa password no podrá hacerlo y además el usuario recibirá una alerta. Vida personal y profesional controlada desde una misma app.

Latch empezó poco a poco, primero con servicios .NET, WordPress, FTP, SSH, Redmine y alguno más y actualmente ofrece implementación para RoundCube, SquirreMail, Drupal, PrestaShop ¿que queda por llegar?

“Pues ahora saldrán plugins para Active Directory, Open X-change, Moodle y alguno más, pero lo más importante es que los SDKs son públicos y Open Source para que cada uno lo aplique donde quiera, así que probablemente los desarrolladores nos soprendan como ya lo han hecho con PoC en Django, autenticación Windows con plugin Gina o las integraciones en FTP que hemos visto. Aquí hay más info y enlaces sobre Latch http://www.elladodelmal.com/2014/02/latch-para-ssh-squirrelmail-roundcube-y.html

¿Habrá integración de Latch para accesos :2082, :2083 o :2087 de cPanel?

“cPanel está en en nuestra lista de prioridades, esperamos tener algo oficial pronto.”

¿Pensais mejorar la integración del plugin para Joomla con el fin de que opere mejor con el formulario de login nativo?

“Latch no es solo para login, pero además no podemos integrarlo con la manera en que Joomla gestiona el OTP porque lo pide al mismo tiempo que el usuario y la password mientras que en en nuestra arquitectura es un desafío que el usuario configura para que se solicite. No obstante, estamos mirando más formas de integrarnos con Joomla.”

Brian Teeman, cofundador de Joomla, al respecto de porque Latch no está en el Joomla Extensions Directory: https://twitter.com/brianteeman/status/440285290369138688 ¿algo que añadir al respecto? 🙂

“Lo cierto es que aún no hemos tenido oportunidad de ponernos en contacto con ellos para analizarlo, pero creo seguramente acabará estando en el repositorio. Nosotros haremos todo lo que podamos para ello.”

Si es cierto (visto en GitHub) que desarrolladores como Roberto Segura @phproberto están trabajando en la integración de constantes en el plugin de Latch para que disponga de archivos .ini para poder ser traducido a otros idiomas ¿hay colaboración por parte de Eleven Paths?

“Pues espero que sí. El equipo que hizo el plugin de Latch para Joomla es muy activo y está atento a todas las demandas que le llegan. La internacionalización mediante ficheros ini se puso en el roadmap hace más de un mes”

He leído por ahí que algunos desarrolladores ya están trabajando para implementar WHMCS y servicios similares ¿hay mucha implicacion de desarrolladores para crear aplicaciones en base a la API de Latch para otros servicios?.

“Muchos más de los que pensamos. Ya hay más de 800 sitios que implementan Latch y lo hacen de formas muy diversas. Estamos pensando en hacer un directorio de plugins para tener todos los disponibles catalogados y hacer mucho más fácil este trabajo para cualquiera que quiera implementar Latch en sus sistemas.”

¿Y de Latch y el Internet de las cosas?

“Pues hay PoCs con cerrojos y alguna cosa más que no os puedo contar todavía. Pero sí. Es importante para nosotros!

A nivel empresarial (PYMES y grandes empresas) ¿crees que una política de seguridad en los usuarios, empleados o directivos pasaría por la implementación de “pestillos”?.

“En empresas hemos estado montando Latch en diversas formas. Como 2FA, como sistemas de Verificación en 4 Ojos o accesos con apertura de 2 llaves. Es decir, la arquitectura de Latch es tan flexible que dependiendo de dónde pongas los pestillos puedes implementar una medida de seguridad u otra.”

En el mes de febrero, el equipo de Eleven Paths ha realizado mejoras en Latch, tanto en el portal ( https://latch.elevenpaths.com ) como en la App para dispositivos móviles ¿nos puedes resumir en que han consistido estas mejoras y en que beneficiarán a los miles de usuarios de esta herramienta?.

“Hemos añadido un portal de gestión de Latches que será actualizado nuevamente a finales de Abril, hemos añadido opciones de Autolock para el usuario y hemos añadido nuevos idiomas en las apps, además de una versión para Firefox OS. El proceso de Latch está en pleno crecimiento y vamos a ir lanzando cosas nuevas cada mes, así que esperad sorpresas nuevas cada poco”

¿A favor de accesos federados, accesos biométricos o autenticación mediante token?

OAuth es una buena opción para muchos entornos donde no sea necesario utilizar nueva identidad, pero aún así hace falta controlar el acceso a los assets en cada momento. La biometría es una forma de autenticarse, pero tiene el problema de que si te la roban una vez, te la roban para siempre. Los tokens son caros y engorrosos, pero son un buen 2FA.

Latch se integra con todos ellos y permite que el usuario decida si el token, el acceso federado o la biometría deben funcionar o no en un determinado momento. Poner un latch en cualquier momento permite una flexibilidad enorme a la hora de definir la seguridad de un sistema.”

¿Crees que los accesos federados a la larga son una brecha de seguridad donde el eslabón débil sigue siendo el usuario y no el servicio?

“Al final siguen teniendo el problema de cómo controlas la seguridad de las identidades que federas. Si solo está protegido por un usuario y una contraseña es un problema que depende de los usuarios.”

¿Qué podemos esperar de Latch como servicio en los próximos meses?.

“Más plugins, mejoras en las herramientas del dashboard, nuevos usos y un montón de anuncios de grandes sitios integrándolo… y algo más que no puedo contar”.

¿Incluyes Latch en tus charlas de seguridad habituales en universidades, empresas y sitios por los que viajas?

Of course, ahora es uno de mis topics favoritos. Recuerda que nuestro objetivo es Latchear el mundo. }:)

Por último Chema ¿que le dirías al usuario reticente que no ve como este tipo de servicios pueden mejorar su seguridad personal?.

“Pues que en seguridad informática, utilizar sistemas de defensa en profundidad es fundamental. Latch ofrece un second factor vía side-channel con infinidad de posibilidades. Si no es Latch, debería buscar alguna alternativa similar.”

Agradecer desde gnumax.org que hayas accedido a contarnos un poco más sobre Latch y decirte que aquí siempre tienes las puertas “delanteras” abiertas para cuando desees compartir tus conocimientos con los usuarios.

Gracias Chema Alonso!!

 

Te recomiendo que consultes los siguientes artículos publicados sobre Latch por Chema Alonso @chemaalonso en su blog Un informático en el lado del mal:

  • Latch: Cómo proteger las identidades digitales (I de IV).
  • Latch: Cómo proteger las identidades digitales (II de IV)
  • Latch: Cómo proteger las identidades digitales (III de IV)
  • Latch: Cómo proteger las identidades digitales (IV de IV)
  • 0 comentarios

    Deja un comentario

    Entradas relacionadas

    A %d blogueros les gusta esto: